Erstellen eines Azure Key Vault mithilfe einer Resource Manager-Vorlage

Azure Key Vault ist ein Clouddienst, der einen sicheren Speicher für Geheimnisse wie Schlüssel, Kennwörter und Zertifikate bereitstellt. In diesem Artikel wird die Bereitstellung einer Azure Resource Manager-Vorlage (ARM-Vorlage) zum Erstellen eines Schlüsseltresors beschrieben.

Wichtig

Azure RBAC ist das empfohlene Autorisierungsmodell für Azure Key Vault. Weitere Informationen finden Sie unter Azure RBAC für Key Vault. Das Legacyzugriffsrichtlinienmodell verfügt über bekannte Sicherheitsrisiken und sollte nicht für neue Bereitstellungen verwendet werden.

Eine Azure Resource Manager-Vorlage ist eine JSON (JavaScript Object Notation)-Datei, welche die Infrastruktur und die Konfiguration für Ihr Projekt definiert. Die Vorlage verwendet eine deklarative Syntax. Sie beschreiben Ihre geplante Bereitstellung, ohne die Abfolge der Programmierbefehle zu schreiben, mit denen die Bereitstellung erstellt wird.

Voraussetzungen

Zur Durchführung der in diesem Artikel aufgeführten Schritte ist Folgendes erforderlich:

• Wenn Sie kein Azure-Abonnement besitzen, können Sie ein kostenloses Konto erstellen, bevor Sie beginnen.

Erstellen einer Resource Manager-Vorlage für einen Schlüsseltresor

Mit der folgenden einfachen Vorlage wird ein Schlüsseltresor erstellt. Einige Werte werden in der Vorlage angegeben.

{
  "$schema": "https://schema.management.azure.com/schemas/2019-04-01/deploymentTemplate.json#",
  "contentVersion": "1.0.0.0",
  "parameters": {
    "keyVaultName": {
      "type": "string",
      "metadata": {
        "description": "Specifies the name of the key vault."
      }
    },
    "skuName": {
      "type": "string",
      "defaultValue": "Standard",
      "allowedValues": [
        "Standard",
        "Premium"
      ],
      "metadata": {
        "description": "Specifies whether the key vault is a standard vault or a premium vault."
      }
    }
   },
  "resources": [
    {
      "type": "Microsoft.KeyVault/vaults",
      "apiVersion": "2023-07-01",
      "name": "[parameters('keyVaultName')]",
      "location": "[resourceGroup().location]",
      "properties": {
        "enabledForDeployment": false,
        "enabledForDiskEncryption": false,
        "enabledForTemplateDeployment": false,
        "tenantId": "[subscription().tenantId]",
        "enableRbacAuthorization": true,
        "enableSoftDelete": true,
        "softDeleteRetentionInDays": 90,
        "enablePurgeProtection": true,
        "sku": {
          "name": "[parameters('skuName')]",
          "family": "A"
        },
        "networkAcls": {
          "defaultAction": "Deny",
          "bypass": "AzureServices"
        }
      }
    }
  ]
}

Weitere Informationen zu Key Vault-Vorlageneinstellungen finden Sie unter Key Vault ARM-Vorlagenreferenz.

Hinweis

Diese Vorlage verwendet Azure RBAC für die Autorisierung. Dies ist der empfohlene Ansatz. Um Zugriff auf Key Vault-Daten zu gewähren, weisen Sie Benutzern, Gruppen oder Dienstprinzipalen Azure RBAC-Rollen (z. B. Key Vault Secrets Officer oder Key Vault Crypto Officer) zu. Weitere Informationen finden Sie unter Azure RBAC für Key Vault.

Wenn Sie stattdessen Legacy-Zugriffsrichtlinien verwenden müssen, lesen Sie Zuweisen einer Key Vault-Zugriffsrichtlinie. Beachten Sie, dass das Legacyzugriffsrichtlinienmodell bekannte Sicherheitsrisiken aufweist und keine Unterstützung für Privileged Identity Management (PIM) bietet.

Weitere Key Vault Resource Manager-Vorlagen

Für Key Vault-Objekte stehen weitere Resource Manager-Vorlagen zur Verfügung:

Geheimnisse	Schlüssel	Zertifikate
Schnellstart Referenz	Nicht verfügbar	Nicht verfügbar

Weitere Key Vault-Vorlagen finden Sie hier: Key Vault Resource Manager-Referenz

Bereitstellen der Vorlagen

Sie können das Azure-Portal verwenden, um die oben genannten Vorlagen mithilfe der Option Eigene Vorlage im Editor erstellen bereitzustellen, die hier beschrieben ist: Bereitstellen von Ressourcen mithilfe einer benutzerdefinierten Vorlage

Sie können die oben aufgeführten Vorlagen auch in Dateien speichern und die folgenden Befehle verwenden: New-AzResourceGroupDeployment und az group deployment create:

New-AzResourceGroupDeployment -ResourceGroupName ExampleGroup -TemplateFile key-vault-template.json

az deployment group create --resource-group ExampleGroup --template-file key-vault-template.json

Bereinigen von Ressourcen

Wenn Sie planen, mit den nachfolgenden Schnellstarts und Tutorials fortzufahren, können Sie diese Ressourcen an ihrem Platz lassen. Wenn Sie die Ressourcen nicht mehr benötigen, löschen Sie die Ressourcengruppe. Wenn Sie die Gruppe löschen, werden auch der Schlüsseltresor und zugehörige Ressourcen gelöscht. Wenn Sie die Ressourcengruppe mit der Azure CLI oder Azure PowerShell löschen möchten, führen Sie die folgenden Schritte aus:

CLI

echo "Enter the Resource Group name:" &&
read resourceGroupName &&
az group delete --name $resourceGroupName &&
echo "Press [ENTER] to continue ..."

PowerShell

$resourceGroupName = Read-Host -Prompt "Enter the Resource Group name"
Remove-AzResourceGroup -Name $resourceGroupName
Write-Host "Press [ENTER] to continue..."

Ressourcen

• Lesen Sie die Übersicht über den Azure-Schlüsseltresor.
• Hier finden Sie weitere Informationen zum Azure-Ressourcen-Manager.
• Azure Key Vault-Sicherheitsübersicht

Nächste Schritte

• Sicherer Zugang zu einem Schlüsselspeicher
• Authentifizieren bei einem Schlüsseltresor
• Azure Key Vault Entwicklerhandbuch